Wat is een gegevenslek in verband met persoonsgegevens?
Een gegevenslek of inbreuk in verband met persoonsgegevens is een inbreuk op de beveiliging ervan die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Zo kan het verliezen van een usb-stick of de ongeoorloofde toegang tot persoonsgegevens onder de definitie van gegevenslek vallen. Ook wanneer de onderneming getroffen wordt door een cyberaanval waarbij de beveiliging van de persoonsgegevens van werknemers in het gedrang komt, is er sprake van een gegevenslek.
Bij inbreuken op persoonsgegevens van zijn werknemers moet de werkgever in principe bepaalde acties ondernemen.
Documenteren van alle datalekken
De werkgever moet tijdig op de hoogte kunnen zijn van de datalekken in zijn onderneming. Hij moet dan ook verschillende interne processen opzetten om incidenten te onderzoeken en vast te stellen of er een datalek was op de persoonsgegevens en of er actie moet ondernomen worden ten gevolge van het datalek.
De werkgever kan in het kader hiervan volgende acties ondernemen:
Opstellen van een intern beleid rond datalekken
De werkgever kan een intern beleid opstellen over hoe datalekken vastgesteld en aangepakt kunnen worden, aan wie van de onderneming ze meegedeeld moeten worden en binnen welke termijn, hoe het risico beoordeeld moet worden en wanneer ze gemeld gaan worden aan de toezichthoudende autoriteit of de werknemers. De werkgever kan hiervoor een data breach policy opstellen.
Documenteren van datalekken
De werkgever kan een document bijhouden waarin alle datalekken gedocumenteerd worden, zelfs al vormen de datalekken geen enkel risico. Op die manier kan een toezichthoudende autoriteit de naleving van de verplichting tot het melden van datalekken controleren.
Melden van gegevenslek aan de toezichthoudende autoriteit bij risico of groot risico voor rechten en vrijheden van werknemer[1]
In principe moet de werkgever zonder redelijke vertraging en binnen de 72u na de kennisname ervan, het gegevenslek melden aan de toezichthouder[2]. De werkgever moet op dat ogenblik voldoende informatie geven over de situatie waarin het lek zich heeft voorgedaan[3].
De werkgever moet het gegevenslek niet melden wanneer er geen risico is voor de rechten en vrijheden van de werknemers.
Onder risico of groot risico kunnen gegevenslekken vallen die kunnen resulteren in “ernstige lichamelijke, materiële of immateriële schade, met name:
- Waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel
- Wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen
- Wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen
- Wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken
- Wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt of
- Wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen[4].
Meedelen van gegevenslek aan werknemer bij groot risico voor rechten en vrijheden van werknemer[5]
Enkel wanneer het gegevenslek een groot risico (bv. medische gegevens) vormt voor de rechten en vrijheden van een natuurlijke persoon, moet de verwerkingsverantwoordelijke dit zo snel mogelijk meedelen aan de betrokkene. Hier geldt geen vaste termijn.
De werkgever moet duidelijk en eenvoudig het gegevenslek aan de werknemer omschrijven[6].
Er bestaan echter wel uitzonderingen op de mededelingsplicht aan de betrokkene. De mededeling aan de betrokkene is immers niet verplicht wanneer een van de volgende voorwaarden is vervuld:
- Als de werkgever passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens die getroffen zijn door de inbreuk, vooral de maatregelen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling
- Als de werkgever achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen
- Als de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de plaats daarvan een openbare bericht of een soortgelijke maatregel waarbij de werknemers even doeltreffend worden geïnformeerd
Eventueel kan de toezichthoudende autoriteit de werkgever verplichten om de werknemer te verwittigen bij een groot risico voor de rechten en vrijheden van de werknemer.
Sancties op het niet-melden van het gegevenslek
Wanneer de inbreuk niet wordt gemeld of meegedeeld, kan een administratieve boete opgelegd worden van 10.000.000 euro of 2% van de wereldwijde jaaromzet, indien dat cijfer hoger is.
[1] Artikel 33 GDPR.
[2] Indien dit niet binnen de 72 uur kan, dan moet de melding gepaard gaan met een motivering van de vertraging.
[3] Zie artikel 33.3 GDPR voor de precieze omschrijving van wat er zeker in moet staan.
[4] Overweging 75 GDPR.
[5] Artikel 34 GDPR.
[6] Zie artikel 33.3 GDPR voor de precieze omschrijving van wat er zeker in moet staan.